云計(jì)算安全風(fēng)險(xiǎn)因素挖掘及應(yīng)對(duì)策略探討

貴州省信息中心　張　良

云計(jì)算安全風(fēng)險(xiǎn)因素挖掘及應(yīng)對(duì)策略探討

貴州省信息中心張良

云計(jì)算是一種新的服務(wù)形式，但其面臨的安全風(fēng)險(xiǎn)也要比傳統(tǒng)的網(wǎng)絡(luò)信息要大。基于此，本文主要分析了云計(jì)算安全的重要性，并著重探討了云計(jì)算的主要存在的安全風(fēng)險(xiǎn)，同時(shí)提出了相應(yīng)的應(yīng)對(duì)措施，以供相關(guān)人員參考。

云計(jì)算；安全風(fēng)險(xiǎn)；因素挖掘；應(yīng)對(duì)策略

1　引言

云計(jì)算是一種新型的計(jì)算模式，其主要利用互聯(lián)網(wǎng)以服務(wù)的形式提供動(dòng)態(tài)可伸縮的虛擬化資源，無(wú)需耗費(fèi)大量的人力和物力來(lái)管理這些資源，并且不需要跟供應(yīng)商之間進(jìn)行交互。進(jìn)一步挖掘云計(jì)算中所存在的風(fēng)險(xiǎn)，并提出相應(yīng)的解決措施已成為現(xiàn)階段社會(huì)廣泛關(guān)注的問題，因而要加大研究力度。

2　云計(jì)算安全的重要性

現(xiàn)階段，信息技術(shù)的主要領(lǐng)域依舊被西方發(fā)達(dá)國(guó)家所壟斷，而在“云”面前，國(guó)家的信息安全以及主流文化會(huì)被沖擊，而其發(fā)展會(huì)進(jìn)一步集中全球信息的收集、傳輸、儲(chǔ)存以及處理等，導(dǎo)致國(guó)家信息面臨著“去國(guó)家化”的挑戰(zhàn)。此外，云計(jì)算的應(yīng)用越來(lái)越廣泛，用戶能夠利用網(wǎng)絡(luò)來(lái)獲取相關(guān)的數(shù)據(jù)，因而數(shù)據(jù)的備份以及其安全性會(huì)受到影響，同時(shí)云計(jì)算的安全與否，對(duì)于商業(yè)機(jī)密、國(guó)家機(jī)密以及個(gè)人隱私的保護(hù)也有著十分重要的影響，一旦未能夠?qū)ζ浒踩M(jìn)行保護(hù)，敏感數(shù)據(jù)很有可能被盜竊，進(jìn)而影響到用戶的知識(shí)產(chǎn)權(quán)、聲譽(yù)、人身安全。

3　云計(jì)算環(huán)境中存在的安全風(fēng)險(xiǎn)因素

3.1技術(shù)安全風(fēng)險(xiǎn)因素

3.1.1虛擬化技術(shù)

虛擬化技術(shù)作為云計(jì)算中最為關(guān)鍵的一項(xiàng)技術(shù)，也是構(gòu)成數(shù)據(jù)共享中心的核心所在，虛擬技術(shù)能夠?yàn)樵朴?jì)算的順利實(shí)施提供相應(yīng)的支持，提升了云計(jì)算的可擴(kuò)展性和服務(wù)器的利用率，但若虛擬化軟件不夠安全，則會(huì)出現(xiàn)不法分子入侵系統(tǒng)，進(jìn)行各種非法操作和非法訪問，并對(duì)用戶的數(shù)據(jù)進(jìn)行竊取，威脅到用戶的數(shù)據(jù)安全。

3.1.2數(shù)據(jù)加密技術(shù)

做好數(shù)據(jù)的加密處理目的在于能夠有效確保存儲(chǔ)數(shù)據(jù)、傳輸數(shù)據(jù)以及遷移數(shù)據(jù)過程中數(shù)據(jù)的安全性，一般加密數(shù)據(jù)可以利用的傳統(tǒng)技術(shù)有兩種，分別為對(duì)稱加密以及公匙加密，這類技術(shù)的優(yōu)點(diǎn)在于即使數(shù)據(jù)被不法分子竊取但依舊無(wú)法使用這些數(shù)據(jù)，從而達(dá)到降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)，然而有些云服務(wù)所使用的加密算法比較脆弱，易被黑客攻擊，泄露出用戶的數(shù)據(jù)；此外，若云服務(wù)商所使用的加密技術(shù)比較成熟，但密匙丟失會(huì)倒是用戶難以解密自己的數(shù)據(jù)，最終會(huì)毀壞數(shù)據(jù)，并難以繼續(xù)使用。

3.1.3身份驗(yàn)證及訪問控制技術(shù)

在云計(jì)算中引入身份認(rèn)證和訪問管理技術(shù)能夠有效確保資源的合法訪問以及使用，若云計(jì)算服務(wù)中所使用的身份驗(yàn)證技術(shù)以及訪問技術(shù)存在缺陷或者出現(xiàn)了安全漏洞，則會(huì)導(dǎo)致用戶的登錄賬號(hào)和密碼被仿冒，出現(xiàn)用戶越權(quán)訪問的問題，最終泄露用戶的數(shù)據(jù)，因而不可忽視。

3.1.4數(shù)據(jù)移植及接口

資源被整合到云計(jì)算的“云中”，利用API接口為用戶提供服務(wù)，而云平臺(tái)的安全性很大程度上取決于API接口的安全性，若API接口不夠安全，云平臺(tái)遭到惡意攻擊的成功幾率也會(huì)增大，對(duì)云計(jì)算的平臺(tái)的安全造成威脅。此外由于不同的運(yùn)營(yíng)商，其云平臺(tái)所使用的操作方式以及使用的接口技術(shù)也不同，因而用戶也就難以將數(shù)據(jù)從一家云服務(wù)遷移到另一家云服務(wù)中，移植過程中也會(huì)損壞或者泄露數(shù)據(jù)。

3.2管理安全風(fēng)險(xiǎn)

3.2.1法律法規(guī)問題

云計(jì)算所涉及到的服務(wù)器集群較為龐大，并且這些服務(wù)器所在的國(guó)家以及地區(qū)都不同，但現(xiàn)階段有關(guān)云計(jì)算的法律法規(guī)標(biāo)準(zhǔn)還不夠統(tǒng)一，因而不同國(guó)家判別數(shù)據(jù)的合法性就存在著不同，也難以利用法律手段維護(hù)用戶的利益，同樣會(huì)產(chǎn)生各種安全風(fēng)險(xiǎn)。

3.2.2用戶管理

云計(jì)算所提供的服務(wù)能夠無(wú)限制的進(jìn)行擴(kuò)展，缺少對(duì)注冊(cè)用戶身份和背景的審查和監(jiān)管，導(dǎo)致許多不法分子會(huì)利用云計(jì)算去攻擊其他的平臺(tái)，或者使用暴力的方式對(duì)密碼進(jìn)行破解，嚴(yán)重威脅云計(jì)算平臺(tái)的安全。

3.2.3軟件使用管理

由于用戶使用云計(jì)算平臺(tái)時(shí)會(huì)按照自身的需求使用相應(yīng)的軟件服務(wù)，并且為用戶提供不同的軟件服務(wù)，但用戶難以對(duì)這些軟件的合法性以及安全性進(jìn)行判斷，而云服務(wù)的提供商也未能夠?qū)徍说谌降纳矸?，檢測(cè)軟件的安全性，因而云平臺(tái)中的軟件多而雜亂，若用戶使用了這些軟件，則會(huì)被竊取數(shù)據(jù)或者云平臺(tái)會(huì)被攻擊。

4　云計(jì)算環(huán)境中安全風(fēng)險(xiǎn)因素的應(yīng)對(duì)策略

4.1構(gòu)建標(biāo)準(zhǔn)的云計(jì)算安全技術(shù)體系

由于云計(jì)算中所包含的備份、身份認(rèn)證與訪問管理、數(shù)據(jù)加密、數(shù)據(jù)銷毀、虛擬等一系列的成熟技術(shù)一直備受關(guān)注，但云計(jì)算具有一定的開放性、規(guī)模性以及復(fù)雜性，有效的在云計(jì)算環(huán)境中結(jié)合這些技術(shù)，確保服務(wù)的安全，則需要構(gòu)建一個(gè)更為標(biāo)準(zhǔn)的技術(shù)體系，以便對(duì)云計(jì)算的安全進(jìn)行支撐，降低技術(shù)風(fēng)險(xiǎn)。

4.2建立第三方機(jī)構(gòu)進(jìn)行評(píng)估和管理

現(xiàn)階段，企業(yè)所選擇的云計(jì)算服務(wù)商未能夠明確的說(shuō)明細(xì)節(jié)，導(dǎo)致用戶選擇服務(wù)時(shí)存在一定的盲目性，并且云服務(wù)商沒有確立一個(gè)標(biāo)準(zhǔn)來(lái)供用戶參考，更多的是靠運(yùn)營(yíng)商以及用戶之間的磋商，服務(wù)商能夠有效的控制用戶，一旦服務(wù)出現(xiàn)問題，用戶則成了最大的受害者，因此若沒有第三方中立結(jié)構(gòu)的監(jiān)管以及評(píng)估，則難以順利的推廣和運(yùn)行云計(jì)算，政府要加快建立云計(jì)算第三方機(jī)構(gòu)，實(shí)時(shí)評(píng)估提供商的服務(wù)以及存在的風(fēng)險(xiǎn)，為用戶提供相應(yīng)的參考，減少風(fēng)險(xiǎn)。

4.3完善法律法規(guī)

為了減少云計(jì)算受到不完善法律法規(guī)的制約，則需要盡快的制定相關(guān)的數(shù)據(jù)保護(hù)、隱私保護(hù)以及信息安全的相關(guān)法律，以法律手段對(duì)人們的行為進(jìn)行規(guī)范和監(jiān)督，全方位的保護(hù)用戶以及運(yùn)營(yíng)商的合法權(quán)益，保障云計(jì)算的健康發(fā)展。

4.4強(qiáng)化管理和監(jiān)督，選擇正確的供應(yīng)商

為了更好的對(duì)云計(jì)算中的設(shè)備以及員工進(jìn)行管理，則需要制定相應(yīng)的管理制度，以及審核好員工的身份，并且規(guī)定好每一項(xiàng)工作的流程，安全控制各個(gè)業(yè)務(wù)的流程，安排員工定期檢查設(shè)備安全，及時(shí)排除安全隱患，從而為用戶創(chuàng)造一個(gè)安全的云計(jì)算環(huán)境。此外，用戶選擇服務(wù)商時(shí)要多角度去考慮，避免由于服務(wù)商的變動(dòng)引發(fā)各種安全風(fēng)險(xiǎn)。

5　結(jié)語(yǔ)

總而言之，將云計(jì)算應(yīng)用到科學(xué)發(fā)展中，能夠有效帶動(dòng)社會(huì)的進(jìn)步，為了有效保證云計(jì)算過程中的安全，則需要對(duì)其計(jì)算過程中存在的安全隱患進(jìn)行分析，采取相應(yīng)的措施進(jìn)行保護(hù)，最終實(shí)現(xiàn)網(wǎng)絡(luò)的健康和穩(wěn)定的發(fā)展。

［1］劉波.云計(jì)算的安全風(fēng)險(xiǎn)評(píng)估及其應(yīng)對(duì)措施探討［J］.移動(dòng)通信，2011，35（9）：23-23

［2］孫卓雅.淺談云計(jì)算安全風(fēng)險(xiǎn)因素挖掘及應(yīng)對(duì)策略［J］.電子測(cè)試，2016（15）：96-96.

［3］姜茸，馬自飛，李彤，等.云計(jì)算安全風(fēng)險(xiǎn)因素挖掘及應(yīng)對(duì)策略［J］.現(xiàn)代情報(bào)，2015，35（1）：85-90.